Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Organizacja podróży służbowych a RODO – rola biura podróży

Organizacja podróży służbowych a RODO

Z licznych obowiązków, które nałożyło na pracodawców Ogólne Rozporządzenie o Ochronie Danych (RODO), spore problemy sprawia prawidłowe określenie roli podmiotu, któremu w ramach współpracy przekazywane są dane osobowe pracowników.

Często pojawiają się wątpliwości czy pracodawca powinien zawrzeć umowę powierzenia z kontrahentem, czy jednak właściwym rozwiązaniem będzie udostępnienie danych pracowników. W związku z tym – czy kontrahent będzie pełnił role podmiotu przetwarzającego dane pracowników, czy stanie się ich administratorem?

W poprzednim artykule rozprawiliśmy się z kwestią przekazywania danych kontaktowych pracowników kontrahentom (artykuł znajdziesz TUTAJ)

Wskazaliśmy, że dane kontaktowe pracowników są udostępniane kontrahentom, a właściwą podstawą prawną do ich udostępnienia jest art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes. W tym przypadku prawnie uzasadnionym interesem pracodawcy jest umożliwienie komunikacji z osobami kontaktowymi w zakresie realizacji umowy.

W dzisiejszym artykule dokonamy analizy procesu związanego z przekazywaniem danych osobowych pracowników do kontrahenta – biura podróży. Tym razem nie będą to wyłącznie dane kontaktowe pracownika, a informacje niezbędne do zorganizowania podróży służbowej.

Mając na uwadze fakt, że współpraca z podmiotami nawet z tej samej branży może odbywać się na zupełnie innych warunkach, przyjrzymy się przedstawionemu poniżej stanowi faktycznemu.

Stan faktyczny

  • Biuro podróży świadczy na rzecz Spółki XYZ usługę organizacji podróży służbowych. W związku z tym dochodzi do przekazywania danych osobowych pracowników Spółki. Lista wszystkich pracowników wgrywana jest do platformy zarządzanej przez biuro podróży i na bieżąco aktualizowana przez dedykowanego pracownika Spółki. Przekazywane są dane w następującym zakresie: imię, nazwisko, adres e-mail, stanowisko, nr pracowniczy, dane kontaktowe przełożonego, limit cenowy biletów. Uprawnienia dostępu do platformy nie są przyznawane każdemu pracownikowi, którego dane są przekazywane.
  • Spółka XYZ jako pracodawca, decyduje którzy pracownicy w ramach świadczonej pracy, będą zobowiązani do odbywania podróży służbowych, ustala kierunek podróży, termin podróży, limit cenowy na realizację usługi świadczonej przez biuro podróży.
  • W ramach współpracy biuro podróży pośredniczy lub dokonuje m. in.:
    • rezerwacji usług hotelowych
    • rezerwacji biletów lotniczych
  • Świadczenie powyższych usług, wiąże się z udostępnianiem danych osobowych pracowników przez biuro podróży hotelom i liniom lotniczym, w zakresie niezbędnym do realizacji danej usługi.

Analiza terminu „administrator danych”

W przypadku konieczności odróżnienia administratora danych od podmiotu przetwarzającego, kluczowe jest dokonanie oceny, który podmiot:
  1. podejmuje decyzję dotyczącą określonego celu, czyli tego czy, dlaczego i w jakim zakresie będą przetwarzane dane osobowe,
  2. decyduje o sposobach przetwarzania danych.

Należy zwrócić uwagę, że drugi z czynników, który kwalifikuje podmiot jako administratora, może być trudniejszy do ustalenia w praktyce.

Słusznie wskazuje się, że podmiot przetwarzający, głównie ten o dużym udziale w rynku w swojej specjalizacji, decyduje de facto o środkach, a zwłaszcza o technicznych sposobach przetwarzania i niejednokrotnie właśnie to, że dysponuje tymi środkami, jest powodem powierzenia mu przetwarzania danych.

Z kolei podejmowanie decyzji o sposobach przetwarzania, odbywa się w istocie już w momencie decydowania o powierzeniu realizacji danego procesu podmiotowi przetwarzającemu. Tym samym, decyzją o sposobach przetwarzania jest już decyzja o niesamodzielnej realizacji danego procesu.

Ocena prawna
Mając na uwadze przytoczony stan faktyczny oraz analizę terminu „administrator danych”, należy stwierdzić, że przetwarzanie przez biuro podróży danych pracowników dokonywane jest w imieniu i na polecenie Spółki XYZ.
Spółka XYZ jako administrator ustala cele oraz sposoby przetwarzania danych osobowych swoich pracowników. W analizowanym przypadku, celem powierzenia danych do biura podróży jest usprawnienie procesu organizacji podróży służbowych. Z kolei nawiązanie współpracy z konkretnym biurem podróży, które mogło zostać wybrane m. in. ze względu na posiadanie nowoczesnej platformy, ułatwiającej zarządzanie powierzanymi danymi poprzez aktualizowanie listy pracowników, świadczy o podjęciu przez Spółkę decyzji o sposobach przetwarzania danych.
W związku z powyższym, biuro podróży w odniesieniu do danych pracowników Spółki, pełnić będzie rolę podmiotu przetwarzającego.

Powierzenie danych oraz ich udostępnienie uregulowane w jednej umowie – czy to możliwe?

Ustaliliśmy już, że w przypadku współpracy Spółki XYZ z biurem podróży dochodzi do powierzenia przetwarzania danych osobowych pracowników. W takiej sytuacji art. 28 ust. 3 RODO nakłada obowiązek zawarcia umowy powierzenia lub innego instrumentu prawnego, wiążącego administratora danych – Spółkę XYZ i podmiot przetwarzający – biuro podróży.

 Jednym z obligatoryjnych elementów, które należy wskazać w umowie powierzenia, jest charakter przetwarzania. Pojęcie „charakteru” odnosi się do czynności przetwarzania, czyli operacji wykonywanych na danych oraz sposobu ich dokonywania.

Udostępnienie danych stanowi zatem jedną z form wykonywania czynności na danych osobowych – przetwarzania danych. Warto podkreślić, że z udostępnieniem danych osobowych mamy do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator. W związku z tym, udostępnienie nastąpi wtedy, gdy administrator danych osobowych przekaże bądź umożliwi zapoznanie się z danymi innemu podmiotowi, a podmiot ten będzie pełnił w stosunku do tych danych rolę administratora danych. Kwestia sposobu udostępnienia danych pozostawiona została do decyzji podmiotom przekazującym dane osobowe.

W analizowanym procesie tj. organizacji podróży służbowych, biuro podróży pełniące rolę podmiotu przetwarzającego jest uprawnione do wykonywania szeregu czynności na danych osobowych pracowników, w tym udostępnienia danych w imieniu Spółki XYZ do przewoźników lotniczych i hoteli.

Wniosek

Spółka XYZ współpracuje z biurem podróży. W związku ze świadczonymi przez biuro podróży usługami Spółka powierza dane osobowe swoich pracowników. Dane powierzane są w określonym przez Spółkę celu – usprawnienia procesu organizacji podróży. Podejmując decyzję o skorzystaniu z usług konkretnego biura podróży, Społka pełniąca rolę administratora danych pracowników, ustala również sposób przetwarzania tych danych.

W związku z powyższym, biuro podróży w procesie organizacji podróży służbowych względem danych osobowych pracowników Spółki XYZ, pełni rolę podmiotu przetwarzającego. Niezbędne jest zatem zawarcie przez strony umowy powierzenia danych osobowych, w której zgodnie z art. 28 ust. 3 RODO określony zostanie: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO);
  • Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. WKP 2018. Red. Paweł Litwiński, Paweł Barta, Maciej Kawecki;
  • RODO Ogólne rozporządzenie o ochronie danych. Komentarz. WKP 2018. Red. Edyta Bielak- Jomaa, Dominik Lubasz.

Powiązane artykuły

Firmy kurierskie a RODO
Ocena skutków transferu danych TIA w praktyce
rodo faq
Czym jest państwo trzecie zgodnie z RODO? #RODOFAQ

5 Odpowiedzi

  1. Sylwia

    Witam, bardzo ciekawy artykuł. Jasno i precyzyjnie określone role poszczególnych podmiotów. Mam nadzieję na więcej takich wpisów z Państwa strony 🙂 Może następnym razem poruszą Państwo problematykę zależności między firmą ubezpieczającą, brokerem, a zakładem pracy, który zamawia ubezpieczenie właśnie poprzez brokera. Nie spotkałam się jeszcze nigdzie z interpretacją tego problemu od strony pracodawcy, wszędzie jest tylko spojrzenie na brokera od strony zakładu ubezpieczeń.

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłą opinię! 🙂 Co do propozycji – jak mówił Jerzy Kiler „Pomyślimy…”. 😉 Pozdrawiamy!

      1. Tomek

        Dziękuję za odpowiedź,
        nurtuje mnie cel przetwarzania w interesie publicznym lub sprawowaniu władzy publicznej przez „uczelnię”.
        Pozdrawiam

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.